Für den Angriff setzt Ettlinger eine Website auf, die die Bürgerkarte zur Altersverifikation nutzt. Wenn nun ein potentielles Opfer den Dienst besucht und mit eingelegter Karte seine PIN in das BKU-Applet (Bürgerkartenumgebung) eingibt, kann der Angreifer die PIN auslesen und speichern. Der Angreifer bettet dann das Applet unsichtbar ein, während der Angegriffene weiter auf der Website surft. Die erneute Einbindung des Applets erfolgt unsichtbar und kann vom Angreifer dann ferngesteuert werden.
Das Auslesen der PIN und das Fernsteuern funktionieren nach Angaben des Experten über die Java LiveConnect-API, die den Zugriff auf Java-Methoden über JavaScript erlaubt. Ermöglicht wird der Angriff, da die Bedienoberfläche der Karten nicht geschützt ist und über ein Java-Script erreichbar ist. Dies – so der Experte – sei bei den Karten nicht der Fall. Auf diese könnte also nicht direkt zugegriffen werden. Ettlinger weist in seinem Blog außerdem darauf hin, dass Anwendungen im eGovernment nicht betroffen da besser geschützt sind:
„When trying to sign on to e-government applications this attack normally does not work, because the Java applet checks whether the webserver uses an SSL-certificate issued to an “.gv.at” domain when requesting the “IdentityLink” InfoBox.“
Laut Presseberichten soll die Schwachstelle behoben sein, der Experte meint aber, die „verwundbaren Versionen“ seine noch erreichbar.